Kein Zugriff auf Vodafone Easybox

[Axel Pötzinger]

Hallo NG,

ich bitte zunächst um Info, wohin mit meiner Frage. Hab nicht wirklich
passende NG gefunden, bzw. keine Antwortfrequenz feststellen können.
Ich versuche von meinem W7-HP meine Easybox 803 von außerhalb per
Fernwartung anzusprechen, was mir nicht gelingt. Es kommt die Meldung,
dass der Server zu lange für die Antwort benötigt.
Die Fernwartung auf der Box ist aktiv, für alle PCs offen (IP 0.0.0.0).
Kann mir jemand einen Hinweis geben, woran es haken könnte?
Servus
Axel

[Uwe Buschhorn]

Axel Pötzinger schrieb:

> Die Fernwartung auf der Box ist aktiv, für alle PCs offen (IP 0.0.0.0).

IP 0.0.0.0 gilt AFAIK nur für das Heimnetz.

Du kennst die WAN-IP der Easybox und fährst Port 8080 an? Dann müßte es
eigentlich klappen.

Grüße,

--
Uwe Buschhorn

[Christoph]

was hast du überhaupt vor? Ich kann mir schwerlich eine Situation
vorstellen, in der ich das Risiko eingehen würde, den Zugang für
die Fernwartung freizugeben. Vielleicht bist du auf einem Irrweg.
Wenn du uns verrätst, was du vor hast, können wir vielleicht
besser helfen.

Christoph

--
email:
nurfuerspam -> gmx
de -> net

[Axel Pötzinger]

Am 23.02.2012 20:23, schrieb Uwe Buschhorn:
> Die Fernwartung auf der Box ist aktiv, für alle PCs offen (IP 0.0.0.0).
>
> IP 0.0.0.0 gilt AFAIK nur für das Heimnetz.
>
> Du kennst die WAN-IP der Easybox und fährst Port 8080 an? Dann müßte es
> eigentlich klappen.
>

Ja ich kenn sie und fahre 8080 an, mach es also genau so, wie in der
Hilfe beschrieben, also https://<WAN-IP>:8080/
Wobei eben auf der Box als PC-IP 0.0.0.0 eingestellt ist
Servus
Axel

[Axel Pötzinger]

Am 23.02.2012 21:54, schrieb Christoph:
> was hast du überhaupt vor? Ich kann mir schwerlich eine Situation
> vorstellen, in der ich das Risiko eingehen würde, den Zugang für die
> Fernwartung freizugeben. Vielleicht bist du auf einem Irrweg. Wenn du
> uns verrätst, was du vor hast, können wir vielleicht besser helfen.
>

Eig will ich aus der Ferne meinen PC aufwecken, der an der Box per Kabel
mit fester IP dranhängt. Das Aufwecken klappt auch von meinem Notebook
aus, das an der Box per WLAN dranhängt.
Von außerhalb is das natürlich was Anderes, weil ich ja zuerst mal an
der Box vorbei muss.
Um nun aus der Ferne, wo ich im Moment bin, auf der Box auch was
verändern zu können, hab ich temporär die Fernwartung aktiviert.
Aber wie gesagt, ich scheitere schon mal daran, aus der Ferne überhaupt
auf die Box zu kommen. Ich dachte wegen 0.0.0.0 wäre dann die IP des
zugreifenden PCs egal. Aber vielleicht is sie das ja doch nicht.
Servus
Axel

[Christoph]

Am 23.02.2012 22:37, schrieb Axel Pötzinger:
> Am 23.02.2012 21:54, schrieb Christoph:
>> was hast du überhaupt vor? Ich kann mir schwerlich eine Situation
>> vorstellen, in der ich das Risiko eingehen würde, den Zugang
>> für die
>> Fernwartung freizugeben. Vielleicht bist du auf einem Irrweg.
>> Wenn du
>> uns verrätst, was du vor hast, können wir vielleicht besser
>> helfen.
>>
> Eig will ich aus der Ferne meinen PC aufwecken, der an der Box
> per Kabel mit fester IP dranhängt. Das Aufwecken klappt auch von
> meinem Notebook aus, das an der Box per WLAN dranhängt.
> Von außerhalb is das natürlich was Anderes, weil ich ja zuerst
> mal an der Box vorbei muss.

... aber nicht mit Fernwartung!

> Um nun aus der Ferne, wo ich im Moment bin, auf der Box auch was
> verändern zu können, hab ich temporär die Fernwartung aktiviert.

hab ich mir gedacht. Das ist der flasche Weg.

> Aber wie gesagt, ich scheitere schon mal daran, aus der Ferne
> überhaupt auf die Box zu kommen. Ich dachte wegen 0.0.0.0 wäre
> dann die IP des zugreifenden PCs egal. Aber vielleicht is sie das

> ja doch nicht. ...

nee, is sie nich. Die Adresse wird dir von deinem Provider
automatisch zugeteilt und kann sich ändern.
Du musst dir erst mal einen dyndns Account anlegen (z.B. bei
selfhost.me) und die Box entsprechend einrichten (lokal!). Dann
musst du die Box so einrichten (lokal!), dass sie immer online
bleibt. Dann kannst du die Box jederzeit von Ferne per z.B.
{deinname.selhost.me} erreichen. Ich mache das mit meiner
Fritzbox so und kann damit aus der Ferne auf meinen an der Box
angeschlossenen Speicher zugreifen - per SSL, versteht sich. Dann
musst du eine Portweiterleitung einrichten, die zu dem
aufzuweckenden Rechner führt. Dem solltest du eine feste IP
Adresse zuweisen oder den DHCP Server deines Routers anweisen,
diesem Rechner immer dieselbe IP zu geben. Die Portweiterleitung
muss zu dieser IP führen. Den Rest entnimmst du den einschlägigen
How-To. Wenn du (als Beispiel) "WOL fritz remote" bei ixquick.de
eingibst, bekommst du etliche gehaltvolle Treffer.

[Michael Landenberger]

Am 23.02.2012 22:55, schrieb Christoph:

> ... aber nicht mit Fernwartung!

(...)

> Ich mache das mit meiner Fritzbox so und kann damit aus der
> Ferne auf meinen an der Box angeschlossenen Speicher zugreifen - per
> SSL, versteht sich.

Der OP macht das genauso, allerdings über die Fernwartung. Die ist nur
über https erreichbar, und https *ist* SSL.

Es spricht auch nichts dagegen, Remote-Rechner über die Fernwartung per
Easybox-Web-Interface aufzuwecken. Ein Magic Packet vom WAN ins LAN zu
routen, ist viel aufwendiger und wird von vielen Routern gar nicht
unterstützt.

Abgesehen davon erlaubt der Fernwartungs-Zugang auch noch andere
nützliche Dinge, z. B. das Einrichten von Telefon-Leistungsmerkmalen
übers Internet.

Wenn du mir auch nur ein einziges Beispiel eines einen missbräuchlich
genutzten Fernwartungs-Zugangs einer Easybox (oder auch einer Fritzbox)
lieferst, werde ich meine Meinung aber nochmal überdenken.

Gruß

Michael

[Uwe Buschhorn]

Axel Pötzinger schrieb:

> Eig will ich aus der Ferne meinen PC aufwecken, der an der Box per Kabel
> mit fester IP dranhängt.

Das ist schonmal ein Denkfehler. Ein abgeschalteter PC hat keine IP. Der
hat bestenfalls eine MAC.

> Das Aufwecken klappt auch von meinem Notebook
> aus, das an der Box per WLAN dranhängt.

Klar, aber nur in Deinem Heimnetz.

> Von außerhalb is das natürlich was Anderes, weil ich ja zuerst mal an
> der Box vorbei muss.

Ich denke nicht, daß die Easybox WOL von extern unterstützt. Oder steht
das explizit in der Doku?

> Aber wie gesagt, ich scheitere schon mal daran, aus der Ferne überhaupt
> auf die Box zu kommen.

Eben. Da stimmt ja auch schon was nicht. Denn Du hast es ja korrekt
versucht. Man müßte evt. auch in Betracht ziehen, daß die Firmware buggy
ist. Du glaubst gar nicht, was für ein Müll in diesen Billigkisten
programmiert wird und niemals mehr korrigiert wird.

Ich habe hier z.B. so ein Alice-Teil rumliegen. Da funktioniert kein
statisches DHCP, obwohl lt. Menü vorhanden und konfigurierbar. Der Brüller
ist aber, daß der DHCP-Server die eingestellte Leasetime nicht beachtet
und vergebene IPs nicht mehr freigibt. Nie mehr! Es sei denn, man macht
einen Restart.

Also - wenn Du fortgeschrittene Sachen machen willst, kaufe erstmal einen
richtigen Router.

Aber ehrlich gesagt - in Deinem Fall würde ich schlicht eine GSM-Steckdose
kaufen. Strom per SMS. Garantiert und ohne Probleme.

Grüße,


--
Uwe Buschhorn

[Axel Pötzinger]

Am 23.02.2012 22:55, schrieb Christoph:
>

> ... aber nicht mit Fernwartung!

Da haben wir uns offenbar mißverstanden. Ich will ja nicht per
Fernwartung an der Box vorbei, sondern nur die Möglichkeit haben, an den
Boxeinstellungen was zu ändern, zumindest vorübergehend.

[...]

> nee, is sie nich. Die Adresse wird dir von deinem Provider automatisch
> zugeteilt und kann sich ändern.

Du sprichst jetzt von der WAN-IP? Wenn ja, dann is mir das klar. Ich
meinte ja die IP des Rechners, der auf die Box zugreifen will.

> Du musst dir erst mal einen dyndns Account anlegen (z.B. bei
> selfhost.me) und die Box entsprechend einrichten (lokal!). Dann musst du
> die Box so einrichten (lokal!), dass sie immer online bleibt. Dann
> kannst du die Box jederzeit von Ferne per z.B. {deinname.selhost.me}
> erreichen. Ich mache das mit meiner Fritzbox so und kann damit aus der
> Ferne auf meinen an der Box angeschlossenen Speicher zugreifen - per
> SSL, versteht sich. Dann musst du eine Portweiterleitung einrichten, die
> zu dem aufzuweckenden Rechner führt. Dem solltest du eine feste IP
> Adresse zuweisen oder den DHCP Server deines Routers anweisen, diesem
> Rechner immer dieselbe IP zu geben. Die Portweiterleitung muss zu dieser
> IP führen. Den Rest entnimmst du den einschlägigen How-To. Wenn du (als
> Beispiel) "WOL fritz remote" bei ixquick.de eingibst, bekommst du
> etliche gehaltvolle Treffer.

Wenn ich die bisherigen Infos von dritter Seite korrekt verstanden habe,
dann is bzgl. "Aufwecken" eines PC dieses nur per MAC-Adresse möglich,
weil zu dem Zeitpunkt eine IP noch keine Rolle spielt.
Ich wollte ja zunächst mal nur sehen, was mir die Fernwartung für
Möglichkeiten bietet, um dann zu sehen, ob ich mit WOL oder sonstwie auf
den PC zuhause komme. Da wird mir vermutlich die Box die Zunge
rausstrecken, aber irgendwo muss ich anfangen. Im Moment scheiterte ich
eben daran, dass ich gar nicht auf die Box komme, obwohl gestern die
WAN-IP mir bekannt war, und es eig hätte gehen sollen. Dass ich auf
Dauer nur per DYNDNS glücklich sein könnte, is mir klar. Wobei die
Vodafone-Box scheinbar nur DYNDNS.ORG und noch einen zweiten Anbieter
zuläßt.

Servus
Axel

[Axel Pötzinger]

Am 24.02.2012 00:28, schrieb Uwe Buschhorn:
>> Eig will ich aus der Ferne meinen PC aufwecken, der an der Box per Kabel
>> mit fester IP dranhängt.
>
> Das ist schonmal ein Denkfehler. Ein abgeschalteter PC hat keine IP. Der
> hat bestenfalls eine MAC.

Sorry, da hatte ich unvollständig geschrieben, weil das weiß ich schon.
Ich wollte halt zumindest mal sehen, welche Möglichkeiten ich aus der
Ferne habe.

> Ich denke nicht, daß die Easybox WOL von extern unterstützt.

Das vermute ich auch. Hab´s auch nirgendwo gelesen. Wollte halt einfach
mal sehen, was sich aus der Ferne so ergibt, aber wie gesagt, ich komm
ja nicht mal auf die Box.

> Aber ehrlich gesagt - in Deinem Fall würde ich schlicht eine GSM-Steckdose
> kaufen. Strom per SMS. Garantiert und ohne Probleme.

Das es sowas gibt, wußte ich bisher gar nicht. Wär natürlich eine tolle
Sache. Und ich meine mich zu erinnern, dass man im BIOS einstellen kann,
dass wenn der Rechner wieder Strom bekommt, er dann hochfährt. Oder
würde das dann anders laufen?

Servus
Axel

[Ferenc Staedter]

Nein es würde/muss genauso laufen.

--
lG Ferenc

[Christoph]

1. Sicherheitslücken sind schon länger ein Problem:
<http://www.heise.de/tp/artikel/24/24763/1.html>
<http://bloggingtom.ch/archives/2008/06/12/sicherheitslucke-bei-swisscom-adsl-modems/>
<http://www.heise.de/security/meldung/Swisscom-Router-zu-offen-214190.html>

2. erfolgreicher Angriff:
<http://derstandard.at/1266541181231/Chuck-Norris-Botnet-infiziert-Router>
<http://www.onlinekosten.de/news/artikel/38159/0/Weltweites-Chuck-Norris-Botnetz-enttarnt>
<http://www.dslteam.de/news/artikel/38159/0/Weltweites-Chuck-Norris-Botnetz-enttarnt>

[Michael Landenberger]

"Christoph" <cj...@nurfuerspam.de> schrieb:

> 1. Sicherheitslücken sind schon länger ein Problem:
> <http://www.heise.de/tp/artikel/24/24763/1.html>

Da geht's um TR-069. Das hat *nichts* mit dem Fernwartungszugang über HTTPS
zu tun.

<http://bloggingtom.ch/archives/2008/06/12/sicherheitslucke-bei-swisscom-adsl-modems/>
<http://www.heise.de/security/meldung/Swisscom-Router-zu-offen-214190.html>

Da geht's um Swisscom-Modems. Die haben *nichts* mit Fritzboxen zu tun.

In dem Heise-Artikel wird auch auf ein Problem mit dem Telekom Speedport
W700V verlinkt. Bei diesen Speedports war das Konfigurations-Interface zwar
aus dem Internet zu erreichen (was aber für die Fernwartung sowieso
unerlässlich ist), aber auch da ist nicht das das eigentliche Problem,
sondern (neben der vom Nutzer ungewollten Aktivierung) ein zu schwaches bzw.
nicht geändertes Passwort für die Konfigurations-Oberfläche. Dem Benutzer
steht es frei, ein sicheres Passwort zu wählen. Die ungewollte Aktivierung
des Fernwartungs-Zugangs bei Speedports wurde übrigens längst per
Firmware-Update beseitigt und betraf auch Fritzboxen nicht. Es betraf noch
nicht einmal den Fritzbox-Hersteller AVM, denn die Speedports W700V wurden
nicht von AVM, sondern von Siemens hergestellt.

> 2. erfolgreicher Angriff:
> <http://derstandard.at/1266541181231/Chuck-Norris-Botnet-infiziert-Router>
> <http://www.onlinekosten.de/news/artikel/38159/0/Weltweites-Chuck-Norris-Botnetz-enttarnt>
> <http://www.dslteam.de/news/artikel/38159/0/Weltweites-Chuck-Norris-Botnetz-enttarnt>

Auch da geht es nicht um eine Sicherheitslücke beim Fernwartungs-Zugang von
Fritzboxen. Es geht ebenso wie bei den Speedports *ausschließlich* um (zu)
schwache Passwörter. Das ist kein Problem, das man dem Router-Hersteller
oder dem Fernwartungs-Zugang als solchem anlasten kann, sondern allenfalls
dem Nutzer. Und für den ist es problemlos möglich, sichere Passwörter zu
verwenden.

Um per Fernwartung auf eine Fritzbox zu kommen, muss man übrigens im Besitz
von gleich 3 geheimen Informationen sein: der HTTPS-Fernwartungs-Zugang
verlangt Benutzername und Passwort und die erst nach Eingabe dieser Daten
zugängliche, eigentliche Fritzbox-Konfiguration ein weiteres Passwort. Wer
diese 3 Informationen ausreichend sicher wählt, ist auch ausreichend sicher
vor Attacken auf die Fritzbox-Konfiguration.

Ein Nachweis, dass die Fritzbox-Fernwartung insbesondere in Verbindung mit
sicheren Passwörtern ein Sicherheitsproblem darstellt, steht also immer noch
aus.

Gruß

Michael

[Uwe Buschhorn]

Michael Landenberger schrieb:

> Um per Fernwartung auf eine Fritzbox zu kommen, muss man übrigens im Besitz

Weißt Du zufällig, ob die Fritzen bei einem Brute Force Angriff eine
Verzögerung zwischen den Login-Versuchen einbauen?

Grüße,


--
Uwe Buschhorn

[Christoph]

Am 25.02.2012 00:28, schrieb Uwe Buschhorn:
> Michael Landenberger schrieb:
>
>> Um per Fernwartung auf eine Fritzbox zu kommen, muss man übrigens im Besitz
>
> Weißt Du zufällig, ob die Fritzen bei einem Brute Force Angriff eine
> Verzögerung zwischen den Login-Versuchen einbauen?
>

ich weiß das zufällig. Die Antwort lautet: ja. Jedenfalls gilt
das für meine alte 7170.